Clarity
pour FedRAMP

ccppmop1593
2
Annonce de
Clarity
pour FedRAMP
: CA Technologies (une société Broadcom) a obtenu le statut ATO (autorisation d'exploitation) pour la gestion des services cloud d'organismes et ministères fédéraux.
Clarity
dispose de l'autorisation FedRAMP.
Présentation de FedRAMP
Le programme FedRAMP (Federal Risk and Authorization Program) fournit une approche normalisée de l'évaluation, de l'autorisation et de la surveillance continue de la sécurité pour les produits et services cloud. Cette approche s'appuie sur une structure permettant de réaliser des économies de temps et d'argent pour les évaluations de sécurité effectuées par les agences.
  • Sécurité
    : fournit une approche normalisée de l'évaluation, l'autorisation et la surveillance continue de la sécurité pour les produits et services cloud.Les organismes et ministères fédéraux et gouvernementaux doivent utiliser des solutions cloud hautement sécurisées, qui appliquent des niveaux de sécurité rigoureux tout en respectant la réglementation en matière de conformité des Etats-Unis.
  • Obligatoire
    : tous les organismes et ministères fédéraux doivent utiliser les services cloud autorisés par le programme FedRAMP. Le programme FedRAMP est obligatoire pour les déploiements cloud et les modèles de service de l'administration fédérale nord-américaine aux niveaux d'impact à risque faible, modéré et élevé. Les agences de l'administration nord-américaine doivent soumettre un rapport trimestriel présentant l'un quelconque de ses services cloud qui ne satisfait pas les conditions requises par FedRAMP, la justification appropriée et les solutions proposées pour assurer la conformité.Les déploiements cloud privés destinés à des organisations spécifiques et entièrement implémentés dans les locaux de l'administration fédérale sont les seules exceptions.
  • Valeur
    : l'approche de
    création unique pour une utilisation multiple (do-once, use-many-times)
    permet de réaliser des économies en termes de coût, de temps et de personnel requis pour les évaluations de sécurité effectuées par les agences.
Système de support général (GSS) de Broadcom pour FedRAMP
En tant que fournisseur de logiciels d'entreprise, CA Technologies (une société Broadcom) a mis en place un système de support général (GSS) pour héberger les offres SaaS FedRAMP de Broadcom. Le système GSS est actuellement hébergé dans le cloud SaaS de Microsoft Azure Government et peut être développé pour inclure d'autres offres cloud destinées à l'administration gouvernementale et autorisées par le programme FedRAMP.
Le système GSS implémente des stratégies, et procédures, outils et services d'authentification communs et consommables par les offres SaaS. Avec le système GSS, hébergé aux Etats-Unis et géré par des employés de Broadcom, nos offres SaaS peuvent hériter de plus de 70 % des 325 contrôles de sécurité de référence FedRAMP modérés pour l'autorisation initiale, la surveillance continue et les coûts de fonctionnement et d'exploitation.
Le 16 avril 2019,
Clarity
a officiellement obtenu son statut ATO (Authorization to Operate) parrainé par une importante organisation internationale de recherche sur la santé. GSS dispose de l'autorisation FedRAMP depuis le 9 juillet 2019.
Chef de file
 :
Clarity
est la première offre SaaS de Broadcom hébergée sur le système GSS.
L'image suivante illustre les principaux composants du système GSS :
image2019-5-7_19-42-46.png
Clarity
Commercial et FedRAMP : différences de fonctionnalités et alternatives
Le tableau ci-dessous répertorie les principales fonctionnalités de
Clarity
commerciales et les différences ou alternatives de
Clarity
FedRAMP :
Dans les environnements FedRAMP, les portlets HTML ne sont pas non plus pris en charge.
Fonction Commercial
FedRAMP Alternatives
Cibles de correction (3)
1
Prise en charge de XOG, GEL et NSQL
  • Utiliser XOG, GEL ou NSQL.
  • Les administrateurs de l'application doivent inclure la clause @WHERE:SECURITY: dans leurs requêtes NSQL.
  • Les scripts GEL ne peuvent pas utiliser la balise sql:update avec les instructions SQL de lecture/écriture.
  • Les scripts GEL peuvent utiliser la balise nsql pour lire les données.
N/D
2
Jaspersoft Studio (2), adaptateur CA JDBC et application JasperMobile de TIBCO pour une utilisation avec
Clarity
  • Utiliser les fonctionnalités Jaspersoft de reporting prédéfiniesdans
    Clarity
    pour les rapports ad hoc, les vues, les tables et la planification des rapports.
  • Utiliser les rapports prédéfinis fournis avec
    Clarity
    .
  • Utiliser l'accélérateur PMO et le contenu pour la génération de rapports avancés PMO.
  • Développement de portlets et de tableaux de bord dans
    PPM classique
  • Etendre des champs par défaut pour les projets, les ressources et d'autres domaines avec des attributs personnalisés ou des sous-objets créés dans
    Clarity
    .
Aucune cible
: les outils clients de Jaspersoft, intégrés avec
Clarity
, ne prennent pas en charge l'authentification unique avec l'authentification multifacteur directement dans Jaspersoft.
3
Accès OData à l'entrepôt de données
  • Utiliser l'échange de fichiers plats sur SFTP.
  • Cette fonction est possible grâcec aux flux de travaux
    Clarity
    ou aux scripts GEL.
Cette fonctionnalité fait partie des éléments de la feuille de route FedRAMP de
Clarity
, pris en compte pour une prochaine version. Pour plus d'informations, contactez le responsable de votre compte
Clarity
.
4
Intégrations tierces et prise en charge externe de XML Open Gateway (XOG) (4)
  • Les environnements FedRAMP prennent en charge les intégrations via SFTP que le produit commercial ; par conséquent, l'échange de données par suppression et récupération de fichiers plats est pris en charge.
  • Dans une zone sécurisée du serveur SFTP, placez un fichier pour la suppression de fichiers plats, qui s'authentifie à l'aide de l'échange de clés. Pour en savoir plus, reportez-vous à la section Authentification basée sur une clé.
  • Exécution d'une importation/exportation XOG à l'aide de scripts GEL
Cette fonctionnalité fait partie des éléments de la feuille de route FedRAMP de
Clarity
, pris en compte pour une prochaine version. Pour plus d'informations, contactez le responsable de votre compte
Clarity
.
5
Accès direct à la base de données
  • Aucune solution n'est disponible en raison des restrictions liées aux scripts GEL pour les balises SQL (accès VPN également indisponible).
  • Les balises NSQL sont prises en charge lorsque les administrateurs d'application incluent la clause "@WHERE:SECURITY:".
  • L'accès VPN n'est lui non plus pas disponible.
Aucune cible
6
Intégration de
Clarity
avec les outils clients CA Open WorkBench (OWB) et Microsoft Project (MSP)
  • Obtenir une autorisation pour implémenter cette configuration.
  • Planificateur
    Clarity
    natif, vue de Gantt, organigramme des tâches et fonctions de gestion des tâches
Cette fonctionnalité fait partie des éléments de la feuille de route FedRAMP de
Clarity
, pris en compte pour une prochaine version. Pour plus d'informations, contactez le responsable de votre compte
Clarity
.
7
Intégration de
Clarity
à Rally
  • Utiliser l'édition sur site actuelle de Rally avec le type d'intégration des éléments de portefeuille et l'authentification de base
Cette fonction dépend de l'introduction d'un service Rally FedRAMP.
(2) Jaspersoft Studio est utilisé pour développer des rapports plus avancés spécifiques au client.
(3) Les dates de cible de correction sont susceptibles d'être modifiées à tout moment, avec ou sans préavis.
(4) Les outils clients OWB et MSP ne peuvent pas s'authentifier avec
Clarity
sans session SSO valide. L'autorisation de l'agence est requise, car les utilisateurs des clients OWB et MSP doivent entrer leur nom d'utilisateur et leur mot de passe pour s'authentifier sans SSO.Avec l'autorisation de l'agence, Broadcom fournit un terminal OData
Clarity
pour activer l'authentification unique. Les utilisateurs peuvent lancer les clients OWB ou MSP à partir de
Clarity
.
Balises GEL/CORE non prises en charge dans FedRAMP
Les balises GEL suivantes ne sont pas prises en compte en raison de possibles problèmes liés à un accès non autorisé aux données ou à l'environnement. L'équipe des opérations FedRAMP SaaS travaillera directement avec les partenaires des agences ou des services pour identifier les balises GEL requises pour l'implémentation de
Clarity
dans le respect des exigences de conformité.
Emplacement
Balises FedRAMP
FedRAMP
com.niku.pmo.gel.tags.BPAUpgrade
FedRAMP
org.apache.commons.jelly.tags.sql.QueryTag
Foire aux questions
Q1 : En quoi
Clarity
SaaS FedRAMP diffère-t-il de
Clarity
SaaS Commercial ?
R1 :
Clarity
est disponible dans plusieurs versions commerciales dont les cycles de vie de support se chevauchent. Vous pouvez déployer l'application dans des environnements sur site, SaaS et hébergés présentant des configurations de développement, de test et de production. Notre ATO FedRAMP ne transfère pas les déploiements sur site. Pour répondre aux exigences strictes imposées par FedRAMP en matière de sécurité, certaines fonctionnalités de
Clarity
Commercial sont désactivées dans les environnements
Clarity
FedRAMP. Reportez-vous à la section ci-dessus
Clarity
Commercial et FedRAMP : différences de fonctionnalités et alternatives.
Q2 : FedRAMP est-il préféré ou requis ?
R2 : les deux. Les services cloud sont
préférés
en raison de la réduction des coûts liés à l'infrastructure, de l'amélioration de la mise à échelle, des fonctionnalités de récupération après sinistre et d'autres avantages technologiques. Ils sont également
requis
. En 2010, l'Office of Management and Budget (OMB) a élaboré la stratégie
Cloud First
pour les organismes fédéraux. Les conditions requises d'origine ont été orientées vers l'utilisation d'offres de cloud autorisées. Aujourd'hui, tous les organismes et ministères fédéraux
doivent
utiliser les services cloud autorisés par le programme FedRAMP.
Q3 : Pourquoi un client de
Clarity
Saas Commercial passerait-il au service FedRAMP ?
R3 : Les clients de
Clarity
Commercial tenus de respecter des obligations contractuelles fédérales en matière de protection des informations non classifiées et contrôlées devraient envisager d'utiliser le service FedRAMP. Par exemple, une société aérospatiale cherche à étendre son activité de moteurs à réaction à l'aviation militaire. DFARS doit protéger les informations de mission non classifiées et contrôlées relatives aux systèmes d'armement (pour passer les 125 contrôles).
Q4 : Dans quelle mesure Broadcom et
Clarity
prennent-ils en charge ma version FedRAMP ?
R4 : Broadcom s'engage à fournir des solutions FedRAMP autorisées. Vous pouvez bénéficier du solide service de prise en charge de Broadcom et du système GSS.
Clarity
a obtenu le statut ATO d'autorisation FedRAMP, parrainé par une agence FedRAMP officielle d'opérations à impact modéré. Pour en savoir plus, consultez la partie supérieure de cette rubrique.
Q5 : Comment mes données sont-elles chiffrées dans le service FedRAMP de
Clarity
?
R5 : Toutes les données en transit et inactives sont chiffrées à l'aide de modules de chiffrement FIPS 140-2 validés.
Q6 : Le service
Clarity
FedRAMP permet-il l'accès aux cartes PIV/CAC natives ?
R6 : Oui. Le service
Clarity
FedRAMP accepte les assertions SAML des fournisseurs d'identité. Les agences doivent implémenter les stratégies d’authentification appropriées pour prendre en charge l’accès aux cartes PIV/CAC.
Q7 : Nous ne sommes pas sûrs d'avoir besoin de FedRAMP, mais nous devons cocher la case concernant FISMA ; que pouvons-nous faire ?
R7 : Vous pouvez demander le fournisseur SSP de FedRAMP SSP et l'utiliser pour vous orienter avec SSP sur site. Toutefois, l'ATO FedRAMP pour
Clarity
n'est pas transférable vers un environnement sur site.
Q8 : L'application mobile
Clarity
est-elle prise en charge ?
R8 : Oui. L'application mobile
Clarity
peut être utilisée dans un environnement FedRAMP conjointement avec l'option de connexion par authentification unique.
Q9 : Les contrats FedRAMP disposent-ils d'une documentation distincte de liste des services SaaS ?
R9 : Oui. La documentation de liste des services FedRAMP SaaS est disponible sur demande.
Q10 :
Clarity
est-il conforme à la section 508 ?
R10 :
Clarity
effectue une validation d'accessibilité pour toutes les versions majeures et établit le rapport VPAT requis. Pour obtenir une copie du rapport VPAT actuel, contactez votre représentant commercial Broadcom.
Q11 : Comment est-il possible d'accéder à la documentation du package de sécurité système (SSP) de
Clarity
FedRAMP ?
R11 : Rendez-vous sur le marketplace FedRAMPet remplissez le document Package Access Request Form (Formulaire de demande d'accès au package).
Q12 : Le nombre de sessions utilisateur simultanées est-il limité dans
Clarity
FedRAMP ?
R12 : Pas pour le moment. Toutefois, cette fonctionnalité fait partie des éléments de la feuille de route
Clarity
FedRAMP, pris en compte pour une prochaine version.
Q13 :
Clarity
FedRAMP prend-il en charge le codage Unicode ?
Oui.
Clarity
prend en charge le codage UTF8.
Q14 :
Clarity
FedRAMP prend-il en charge l'interface Expérience utilisateur moderne de
Clarity
?
Oui. L'interface Expérience utilisateur moderne est désormais prise en charge pour
Clarity
FedRAMP.
Q15 :
Clarity
FedRAMP prend-il en charge les API REST ?
Oui.
Clarity
FedRAMP prend en charge les API REST. Cependant, les administrations doivent utiliser des clés API dans
Clarity
. Pour en savoir plus sur l'utilisation des clés d'API, reportez-vous à la section Authentification basée sur une clé.
FedRAMPlogo_FINAL_2017.png